RDPパスワード攻撃はCOVID-19パンデミックの間に増加しています
サイバー犯罪者は、詐欺の際に被害者をだまして、緊急事態に迅速に対処する必要があると考えさせます。これにより、ターゲットは行動を急ぐ可能性がはるかに高くなり、急いでいる場合は間違いを犯す可能性が高くなります。ただし、犯罪者がこれらの緊急事態を作成する必要がない場合もあります。時々、緊急事態は外部要因によって引き起こされ、詐欺師が行う必要があるのは、結果として生じるエラーを利用することだけです。先週、 ESETはグローバルイベントがサイバー攻撃に適した環境をどのように作成できるかを示す素晴らしい例を示しました。
数か月前、COVID-19の発生により世界中の国が緊急事態を宣言し、数十万人の労働者が自宅で仕事をするように言われました。多くの人にとって、これは自分のコンピューターとデバイスを使用することを意味しましたが、依然として機密性の高い企業ネットワークとデータへのアクセスが必要でした。ダウンタイムを回避するために、セットアップは急いで行う必要があり、予想通り、そこで問題が発生しました。
Table of Contents
貧弱なRDPセットアップは攻撃数の急増につながります
RDPはRemote Desktop Protocolの略で、その名前が示すように、2つのデバイス間にリモート接続を設定する方法の1つです。コロナウイルスの発生により、その使用率が急上昇し、その結果、従業員のRDP接続を標的とするサイバー攻撃がかなり多くなりました。実際、ESETのテレメトリーによると、世界保健機関がコロナウイルスの発生をパンデミックと宣言する1か月半前の1月下旬に、RDP攻撃の数は1日あたり約4万回にのぼりました。対照的に、家にいるように言われた約1か月半後の5月に、ESETは毎日10万件のピークの攻撃を記録しました。
脆弱なパスワードと安全でないネットワーク構成により、RDP接続が容易に悪用される
RDP攻撃は新しいものではありません。プロトコル自体は古くから存在し、ハッカーはしばらくの間それを悪用しています。ここでは年齢は問題ではありません。
RDP接続はセキュリティで保護するように構成できますが、毎日見られる多数の攻撃は、人々がそれをしていないことを証明しています。 COVID-19のパンデミックが現在の急増の原因である可能性がありますが、人々の設定ミスがなければ攻撃自体は不可能でした。
最大の問題はパスワード管理です。 RDPやSMBなどのプロトコルに対するほとんどの攻撃は、ブルートフォーステクニックに依存してリモートセッションを有効にするログイン資格情報を推測します。また、これらすべての年が経過した後も詐欺師が依然としてそれらを使用しているという事実は、人々が依然として機密の企業データを簡単に保護していることを証明しています-パスワードを解読する。もちろん、詐欺師がまったくログインする方法がなく、それを確実にすることができるツールがあればさらに良いでしょう。しかし、システム管理者がそれらを実装することに失敗したように思われ、現在公開されているネットワークに関しては、これの理由の少なくとも一部は、ロックダウンが発表されたときにオフィスを迅速に閉鎖するという圧力がかかっていたためです。
RDP攻撃は、ランサムウェアの大規模感染からクリプトジャッキングキャンペーンに至るまでのあらゆる結果を招く可能性があります
適切に構成されていないRDP接続の結果は、かなり壊滅的なものになる可能性があります。パスワードを推測してログインした後、ハッカーは比較的簡単に管理者権限を取得できます。つまり、ハッカーはほとんど何でも好きなことができます。ランサムウェアオペレーターは、RDPを使用して企業や組織のデータをロックしており、最近では、貴重な情報を盗むために必要なアクセスも使用しています。よりサイレントな攻撃を好むハッカーは、クリプトジャックなどの他の犯罪活動にも関与できます。
全体として、RDPは非常に強力な攻撃ベクトルであり、システム管理者はセキュリティを真剣に考慮する必要があります。組織でRDPを使用する必要がある場合は、ファイアウォールを構成して、プロトコルのポートへの外部接続を許可しないようにする必要があります。理想的には、ファイアウォールをVPNゲートウェイの背後に隠します。システム管理者は、誰がプロトコルを使用するかを十分に認識する必要があり、すべてのユーザーが一意の強力なパスワードと2要素認証を採用していることを確認する必要があります。